Совет по стандартам безопасности индустрии платежных карт (PCI SSC) опубликовал ревизию стандарта PCI DSS 3.2.1. Как отметили представители организации, этот релиз включает в себя лишь небольшие уточнения, но при этом является подготовительным этапом перед выходом новой версии стандарта, которая ожидается в 2020 году. Что и зачем было сделано, рассказываем ниже.
/ фото Blue Coat Photos CC
Что и зачем изменили
Сразу отметим, что новых требований в этой версии нет. По словам технического директора PCI SSC Троя Лича (Troy Leach), цель 3.2.1 — исключить путаницу с датами.
Релиз вносит в основной документ три правки:
- Были удалены все примечания, где в качестве момента вступления в силу требований стандарта PCI DSS 3.2 упоминалось 1 февраля. Это сделано для того, чтобы исключить возможную путаницу, так как эта дата «осталась в прошлом».
- Теперь MFA (multi-factor authentication) не является компенсирующей мерой контроля. Для получения административного доступа не из консоли многофакторная аутентификация является обязательной — в качестве инструмента контроля доступа могут выступать одноразовые пароли.
- Добавлена отметка, что после 30 июня 2018 года только POS- и POI-терминалы и их узлы подключения к сети поставщика могут использовать SSL/TLS ниже версии 1.2. В остальных случаях нужно использовать TLS 1.2.
Полный документ стандарта опубликован на официальном сайте PCI SSC, а информацию о других, более мелких правках, вы можете найти в официальном документе. Дальше мы разберем, на кого повлияют указанные выше изменения.
Почему организациям нужно перейти на TLS 1.2
Согласно PCI DSS, 30 июня организации (кроме ранее обозначенного случая) должны будут перейти на более защищенные протоколы шифрования данных, например TLS версии 1.2 или выше.
Требование связано с тем, что в SSLv3 и ранних версиях TLS обнаружили уязвимости, например, возможность атаки POODLE. Она дает злоумышленнику извлечь из зашифрованного канала связи закрытую информацию.
В зашифрованном трафике можно найти и вычленить специальные блоки с метками, отсылаемые сайту вредоносным кодом, написанным на JavaScript. Атакующий отправляет серию подставных запросов, тем самым получая возможность посимвольно реконструировать содержимое интересующих его данных, например cookies.
Основная опасность состоит в том, что хакер может принудить клиента использовать именно SSLv3, эмулируя разрывы связи. Поэтому в PCI SSC настаивают на внедрении TLS 1.2 до 30 июня. Все компании, которые еще не осуществили переход, должны обратиться в компанию со статусом Approved Scanning Vendor (ASV) и получить документальное подтверждение, что они реализуют план по снижению рисков и завершат миграцию к дедлайну.
Информацию о процедуре миграции, соответствующих требованиях, а также FAQ, можно найти в приложении к стандарту, опубликованном PCI SSC.
/ фото Blue Coat Photos CC
На кого повлияют изменения
Изменения затронут сервис-провайдеров и торговые компании. Провайдеры могут позволить мерчантам использовать устаревшие протоколы SSL/TLS, только если сам провайдер подтвердил наличие средств управления, снижающих риски от установления подобных подключений. При этом поставщики услуг должны регулярно сообщать своим клиентам о возможных проблемах при использовании ранних версий SSL.
Что касается самих торговых предприятий, то им разрешено использовать SSL/TLS, если их POS- и POI-терминалы защищены от известных уязвимостей протокола. Однако при появлении новых потенциально опасных эксплойтов, протоколы терминалов придется незамедлительно обновить.
Еще раз о сроках
Дедлайн для внедрения требований предыдущей версии стандарта (3.2) — 31 декабря 2018 года. Реализовать требования PCI DSS 3.2.1 нужно до 1 января 2019 года.
Что касается разработки новой версии стандарта, то она уже ведется. Для этого в PCI SSC пока собирают и анализируют обратную связь от организаций-участников сообщества. Полноценный релиз PCI DSS намечен на 2020 год.
P.S. Несколько материалов из Первого блога о корпоративном IaaS:
- На что обратить внимание при выборе услуги облачного хостинга PCI DSS
- Подводные камни при сертификации по PCI DSS: CVV и запись телефонных разговоров
- Как мы сертифицировали IaaS-облако по стандарту PCI DSS
P.P.S. Материалы по теме из блога на Хабре:
- «Интернет стал чуть безопаснее»: комитет IETF утвердил TLS 1.3
- Как пройти сертификацию PCI DSS: опыт ИТ-ГРАД
- CLOUD Aсt: новый законопроект США открывает доступ к персональным данным за рубежом
Автор: ИТ-ГРАДовец